VIESTILIIKENTEEN TIETOTURVALLISUUSSUUNNITELMA Voimassaoloaika 11.10.2005 lukien toistaiseksi



Samankaltaiset tiedostot
kaikki muut väärään osoitteeseen tulleet viestit tulee palauttaa lähettäjälle.

TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT

Turun ammattikorkeakoulu (5) Tietojärjestelmien käyttösäännöt

Sähköpostin käsittelysäännöt

SÄHKÖPOSTIN KÄSITTELYSÄÄNNÖT. Itä-Suomen yliopiston hallintojohtajan vahvistama

Lapin yliopisto / (6)

SÄHKÖPOSTIN KÄSITTELYSÄÄNNÖT

ROVANIEMEN KOULUTUSKUNTAYHTYMÄ Sähköpostin käsittelysäännöt v Sisällysluettelo

Sisällysluettelo. Yleistä SÄHKÖPOSTIN KÄSITTELYSÄÄNNÖT. Hyväksytty Humanistisen ammattikorkeakoulun hallituksessa

SÄHKÖPOSTIN KÄSITTELYSÄÄNNÖT

LAPPEENRANNAN KAUPUNGIN SÄHKÖPOSTIN JA INTERNET-YHTEYKSIEN KÄYTTÖSÄÄNNÖT

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus

Sä hkö pöstisä ä nnö t

SOVELLUSOHJE SÄÄNTÖÖN SÄHKÖPOSTIN KÄSITTELYSÄÄNNÖT. Itä-Suomen yliopiston hallintojohtajan xx.xx.2010 vahvistama

TIETOSUOJASELOSTE Henkilötietolaki (523/1999) 10 ja 24 Rekisterinpitäjä Rekisterin nimi Henkilötietojen käsittelytarkoitus Rekisterin tietosisältö

Sähköpostisäännöt lyhyesti

Valtion ylimpiä virkamiehiä koskeva ilmoitus sidonnaisuuksista (Valtion virkamieslain 26 :n 1-4 kohdissa tarkoitetut virat)

REKISTERISELOSTE Henkilötietolaki (523/99) 10

Lokipolitiikka (v 1.0/2015)

TeliaSonera CA Asiakkaan vastuut ja velvollisuudet (Subscriber Agreement)

Kajaanin kaupungin joukkoliikenteen Waltti- nettilatauspalvelun käyttöehdot

KESKUSKAUPPAKAMARI Arvosteluperusteet LVV Välittäjäkoelautakunta

Tietosuojaseloste. 2a. Rekisterin voimassaoloaika Voimassa toistaiseksi

IT-palvelujen ka yttö sa a nnö t

2. Miksi keräämme käyttäjien tietoja? Fernando kerää ja käsittelee tiettyjä sivustonsa käyttäjien henkilötietoja, jotta:

Sähköpostisäännöt. Tampereen teknillinen yliopisto Sähköpostisäännöt 1 (6) TTY/520/002/ Sähköpostisäännöt lyhyesti

Tietosuojaseloste. Nimi ja vastuualue Vastaanoton sairaanhoitaja Yhteystiedot Anttilantie 2, Vesilahti Puh

Käyttöehdot, videokoulutukset

TIETOSUOJA JA TIETEELLINEN TUTKIMUS

Lokitietojen käsittelystä

Lähetys- ja palautusvelvollisuudet eivät koske haittaohjelmaviestejä eivätkä roskapostia.

Työntekijän sähköpostin hakeminen ja avaaminen

Lapin yliopiston sähköpostisäännöt

Sähköpostisäännöt lyhyesti

Päivitetty TIETOVERKON JA TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT

Henkilötiedot ja tietosuoja kotipalveluyrityksissä

MyCashflow - verkkokauppapalvelun käyttöehdot

Tapahtumat.infon käyttöehdot

REKISTERISELOSTE Henkilötietolaki (523/99) 10

Yhteystiedot (osoite, puhelin ) Liperin kunta /Hallinto-osasto Keskustie 10, LIPERI puh s-posti: kirjaamo@liperi.

KANKAANPÄÄN KAUPUNKI SÄHKÖPOSTIN KÄYTTÖ- JA KÄSITTELYSÄÄNNÖT

Rovaniemen koulutuskuntayhtymän sähköpostisäännöt

SOPIMUS ASIAKAS- JA POTILASTIETOJÄRJESTEL- MÄSTÄ

IISALMEN KAUPUNKI KIINTEISTÖJEN KAMERAVALVONTA Matti Rönkkö tekninen isännöitsijä Iisalmen kaupunki / tilapalvelu

Käsitelty yhteistyötoimikunnassa Kuntayhtymän johtaja hyväksynyt

IDA-tallennuspalvelun käyttölupahakemus

.eu-verkkotunnusta koskevat WHOIS-toimintalinjat

Järvenpään kaupunki/ lasten ja nuorten palvelualue. Hallintokatu 2, PL 41, Järvenpää p. keskus

sosiaalipalvelupäällikkö Arja Tolttila Heikinkuja MÄNTSÄLÄ puhelin (vaihde)

Espoon kaupunki Tietoturvapolitiikka

NASSTOLAN KUNTA HYVÄ HALLINTO Hyvän hallintotavan ohjeistuus Yhteistyöryhmä Kunnanhallitus Voimaantulo

Tietosuojaseloste. Nimi ja vastuualue vanhustyön johtaja Tuula Jutila Yhteystiedot Lehtimäentie 2 c Pirkkala p

Aineistot Premium -palvelun käyttöehdot

Henkilötietolaki 10 ja 24 Laki sosiaalihuollon asiakkaan asemasta ja oikeuksista 11.3, 12-13, 20.2 ja Ikäihmisten lautakunta

SUKUTUTKIMUS HENKILÖTIETOLAIN MUKAAN

AVAINBIOTOOPPITIEDON SAATAVUUS

Suostumus biopankkitutkimukseen

Turvallisuusselvityslaki ja käytännön toimijat. Säätytalo Suojelupoliisin lausuntotoiminto, ylitarkastaja Astrid Geisor-Goman

REKISTERISELOSTE Henkilötietolaki (523/99) 10

PÄÄKAUPUNKISEUDUN ESISOPIMUS Sivu 1/7 JUNAKALUSTO OY

KIRKKONUMMEN KUNTA LIITE 2 1 (5) Perusturva PL KIRKKONUMMI /135//2009

Standardisarja IEC Teollisuuden tietoliikenneverkot Verkkojen ja järjestelmien tietoturvallisuus

TARJOUSKILPAILUN EHDOT - KOULULAISKULJETUKSET

Lapsen elatuksen rekisteri

REKISTERISELOSTE Henkilötietolaki (523/99) 10

sosiaalipalvelupäällikkö Arja Tolttila Heikinkuja MÄNTSÄLÄ puhelin (vaihde)

Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään?

Vauvakuva Käyttöehdot alkaen voimassa toistaiseksi

ASUNTO-OSAKEHUONEISTOSSA TEHTÄVÄSTÄ KUNNOSSAPITO- JA MUUTOSTYÖSTÄ ILMOITUS

HELIA TIKO ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa

KOULUKULJETUKSET Tarjouspyynnön LIITE 2

Lomarengas Oy: henkilötietolain (523/1999) mukainen rekisteriseloste Päivitetty

MÄNTSÄLÄN KUNTA Mustijoen perusturva Laadittu sosiaalipalvelupäällikkö Arja Tolttila Heikinkuja MÄNTSÄLÄ

PÄIHDEONGELMAISTEN HOITOONOHJAUSOHJE

Järvenpään lasten ja nuorten lautakunta. Järvenpään kaupunki Hallintokatu 2, PL Järvenpää p. keskus

MALLI HENKILÖTIETOJEN KÄSITTELYN/HENKILÖREKISTERIN REKISTERITOIMINTOJEN ANALYSOIMISEKSI

Ravintola Kalatorin tietosuojaseloste

Tilastolain muutoksen vaikutukset aineistojen tutkimuskäyttöön. Seminaari

[yksilöitynä käsiteltävät henkilötiedot ja käsittelyn kesto] [yksilöitynä henkilötietojen tyyppi ja rekisteröityjen ryhmät]

Henkilö, johon asiakas voi ottaa yhteyttä henkilötietojen käsittelyä koskevissa asioissa.

Poliisin menettely esitutkinnassa

POTILASASIAKIRJASSA OLEVAN TIEDON ANTAMINEN POTILAALLE

KOULULAISKULJETUKSET Tarjouspyynnön LIITE 2 TARJOUSKILPAILUN EHDOT KOULULAISKULJETUKSET

RAUMAN KAUPUNGIN LUOTTAMUSHENKILÖIDEN PALKKIO- JA MATKUSTUSSÄÄNTÖ

Terveystarkastus rekisteriseloste

TIETOSUOJAA KOSKEVAT EHDOT

Lilli Huolenpito PALVELUKUVAUS

TIETOSUOJASELOSTE rekisteriseloste ja asiakkaan informointi henkilötietolaki (523/99) 10 ja 24

Julkisuus ja salassapito. Joensuu Riikka Ryökäs

Henkilötietojen käsittelyn oikeusperuste on rekisterinpitäjän oikeutettu etu tai sopimuksen valmistelu tai sopimuksen täytäntöönpano.

Nimi: Perusturvajohtaja Mari Antikainen, puh Henkilö, johon asiakas voi ottaa yhteyttä henkilötietojen käsittelyä koskevissa asioissa.

Yhteystiedot (osoite, puhelin ) Liperin kunta /Hallinto-osasto Keskustie 10, LIPERI puh s-posti: kirjaamo@liperi.

Laitoshuollon rekisteri

Julkaistu Helsingissä 15 päivänä kesäkuuta /2011 Laki. julkisen hallinnon tietohallinnon ohjauksesta

Effican käyttö - Yleiset asiat

Varustekorttirekisteri - Tietosuojaseloste

Lappeenrannan kaupungin tietoturvaperiaatteet 2016

TIETOSUOJASELOSTE Henkilötietolaki (523/99) 10 JA Rekisterin nimi Kokkolan perheneuvolan asiakas- ja potilasrekisteri

Tietosuojaseloste. Nimi ja vastuualue Liisa Almusa, varhaiskasvatuspäällikkö Suupantie 6 C, Pirkkala, liisa.almusa@pirkkala.fi, puh.

Datan avaamisen reunaehdot. Katri Korpela Projektipäällikkö 6Aika - Avoin data ja rajapinnat

Transkriptio:

VIESTILIIKENTEEN TIETOTURVALLISUUSSUUNNITELMA Voimassaoloaika 11.10.2005 lukien toistaiseksi Tässä suunnitelmassa Savonia-ammattikorkeakoulun kuntayhtymästä ja Savonia-ammattikorkeakoulusta käytetään nimitystä yhtymä. Tämä suunnitelma sitoo ja sitä sovelletaan koko yhtymässä. Tässä suunnitelmassa kaikkia koko yhtymää pienempiä organisaation osia tai omistuksessa olevia yhtiöitä voidaan kutsua nimellä yksikkö. Soveltamisala Tätä ohjetta sovelletaan yhtymän tulosalueiden, yksikköjen ja myös muiden erillisten toimielinten tai yhtiöiden henkilöstön sähköiseen viestiliikenteeseen kuten IP- puhelin, sähköposti, monimuotooppimisen sähköiset tukiympäristöt, Internet- ja Intranet-käyttöön. Tämä suunnitelma sisältää sähköpostin käytön turvallisuussuunnitelman. Nämä kohdat on otsikoitu S-tunnuksella alkavilla numeroilla. Sähköpostiin liittyvää suunnitelman osaa voidaan joissain tilanteissa jaella myös erillisenä otteena tästä suunnitelmasta. Tällöin on kuitenkin mainittava alkuperäinen lähde ja sen sijainti sekä saatavuus. Yhtymän teleliikenteen turvallisuudesta langallisissa ja langattomissa televerkoissa voi olla oma erillinen turvallisuus- ja poikkeustilasuunnitelma (Yhtymän teleliikenteen tietoturvallisuus- ja poikkeustilasuunnitelma), joka täydentää tätä suunnitelmaa. Hyvä tiedonhallintatapa Tässä ohjeessa esitetyt näkökohdat on johdettu hyvästä tiedonhallintatavasta ja henkilön yksityisyyden suojasta annetuista säädöksistä ja ohjeista. Laitteiden ja verkon käyttö Yhtymän tietojärjestelmät ja atk-laitteet on tarkoitettu virkatehtävien ja opiskeluun liittyvien toimien hoitamiseen. Niitä voidaan käyttää vähäisessä määrin henkilökohtaisiin tarkoituksiin, esimerkiksi pankkiyhteyksien hoitoon, tekstinkäsittelyyn ja vastaaviin tarkoituksiin. Mikäli järjestelmiä on käytetty yksityiseen tarkoitukseen, yksityisyyden suoja voi vaarantua virhetilanteiden ja häiriöiden selvittelyssä. Järjestelmien suojaus ja turvallisuus on suunniteltu virka- ja opiskelutoimintojen turvallisuuden vaatimalle tasolle. Tästä saattaa seurata myös riittävä turvallisuustaso yksityiskäytön tehtävien hoitoon. Yhtymä ei kuitenkaan sitoudu järjestämään yksityiskäyttöön erikseen tarvittavien turvallisuuskäytänteiden tai turvallisuusjärjestelmien saatavuutta tai toimivuutta yhtymän verkossa tai laitteissa. Järjestelmien käyttämiseen omaan muuhun (Yhtymän ulkopuoliseen) elinkeinotoimintaan, muun ammatin harjoittamiseen tai kolmansien osapuolien aatteelliseen tai kaupalliseen toimintaan (esimerkiksi luottamusmiesaseman tai toimihenkilö tehtävien hoitoon) on kirjallisesti anottava lupa. Henkilökunta anoo luvan lähimmältä esimieheltä ja opiskelijat koulutuspäälliköltä. Esimies harkitsee riittääkö hänen toimivaltansa luvan myöntämiseen ja tarvittaessa alistaa lupakäsittelyn omalle esimiehelleen. Lupa voidaan myöntää aina vain määräajaksi kerrallaan. Anotut luvat ja niihin saadut päätökset (myönteiset ja kielteiset) on annettava tiedoksi tietoturvallisuusorganisaatiolle ja aina tietohallintopäällikölle. Käyttöluvista ylläpidetään käyttöoikeusrekisteriä ja siitä on olemassa henkilörekisteriseloste. Funet-verkon käytöstä on omat eettiset säännöt, jotka sitovat yhtymää, sen yksikköjä ja kaikkia käyttäjiä. http://www.csc.fi/suomi/funet/etiikka.html.fi Normaali- ja poikkeustilanteet Menettelyt ja valtuuksien laajuus ovat erilaisia normaali- ja poikkeustilanteissa. Poikkeustilanteita ovat esim. häiriöiden jälkeiset palautukset, virhetilanteet ja verkon toimintakykyä uhkaavat infohyökkäykset, jolloin hallintokäyttäjillä ja tietoturvallisuusorganisaatiolla on laajemmat valtuudet. Poikkeustilanteesta annetaan poikkeustilannetiedote niillä viestivälineillä, jotka poikkeustilanteessa ovat käytettävissä ja siinä aikataulussa kun välittömien toimien suorittaminen mahdollistaa. Sivu 1 / 11

Häiriö- tai muissa poikkeustapauksissa voidaan valvonnassa mennä pitemmälle sen selvittämiseksi, mistä häiriö aiheutuu, miten se on poistettavissa ja onko kyseessä viranomaistoimia edellyttävä tilanne. Normaalitilanteessa seurataan yhtymän viestiliikenteen määrää ja jakautumista eri liikennelajeihin, jotta voidaan varmistaa, että tietoliikennekapasiteetti riittää yhtymän normaalin toiminnan tarpeisiin. Yksittäisten henkilöiden viestiliikenteen määrää, sisältöä ja viestintäkumppaneita ei seurata. Käyttöoikeudet Käyttöoikeuden myöntäminen järjestelmiin perustuu henkilöstöhallinnon-, opiskelijahallinnon tai kumppanihallinnon henkilörekisteritietoihin. Työsuhteen, kumppanisuhteen tai opiskelusuhteen alkaessa määritellään tähän suhteeseen liittyvät peruskäyttöoikeudet järjestelmittäin. Käyttöluvan saadakseen henkilön on kirjallisesti sitouduttava noudattamaan kulloinkin voimassa olevaa tietoturvapolitiikkaa, - suunnitelmia ja ohjeita. Käyttösitoumus on osa suhteen solmimisprosessia. Käyttäjä saa oman kopion sitoumuksistaan, tiedon henkilörekisteriselosteen sijainnista ja siihen tutustumismahdollisuuksista. Myöhemmin ilmenevää käyttöoikeustarvetta varten käyttöoikeuden anoja allekirjoittaa käyttöoikeussitoumuksen uudelleen ja toimittaa sen kyseisen järjestelmän vastuulliselle ylläpitäjälle. Henkilökunnan käyttösitoumukset toimitetaan ylläpitäjän käsittelyn jälkeen tietohallintopäällikölle ja arkistoidaan käytön päätyttyä keskustoimiston arkistoon arkistonmuodostussuunnitelmassa tarkemmin määritellyllä tavalla. Käyttökopio sitoumuksesta jää vastuullisen ylläpitäjän arkistoon käyttöluvan voimassaolon ajaksi. Voimassaolon päätyttyä palvelun ylläpitäjä merkitsee luvan päättyneeksi, poistaa oikeudet ja lähettää päättyneeksi merkityn luvan tietohallintopäällikölle. Käyttöoikeus voi myös sulkeutua henkilöstöhallinnon tietokannan tietoihin perustuvan käyttöoikeushakemiston tilan muuttuessa (esimerkiksi henkilön työsuhteen päättyessä tai muussa erikseen määritellyssä työsuhteen roolien muutostilanteessa käyttöoikeus voi sulkeutua). Kumppaneiden ja alihankkijoiden käyttöoikeusanomukset toimitetaan ylläpitäjän käsittelyn jälkeen tietohallintopäällikölle ja arkistoidaan käytön päätyttyä keskustoimiston arkistoon arkistonmuodostussuunnitelmassa tarkemmin määritellyllä tavalla. Käyttökopio anomuksesta jää vastuullisen ylläpitäjän arkistoon käyttöluvan voimassaolon ajaksi. Voimassaolon päätyttyä palvelun ylläpitäjä merkitsee luvan päättyneeksi, poistaa oikeudet ja palauttaa päättyneeksi merkityn luvan tietohallintopäällikölle. Käyttöoikeus voi myös sulkeutua kumppani- ja alihankintahallinnon tietokannan tietoihin perustuvan käyttöoikeushakemiston tilan muuttuessa (esimerkiksi henkilön kumppani- tai alihankintasuhteen päättyessä tai muussa erikseen määritellyssä suhteen luonteen muutostilanteessa käyttöoikeus voidaan sulkea). Opiskelijoiden yksikkökohtaisten palvelujen käyttöoikeusanomukset toimitetaan ylläpitäjän käsittelyn jälkeen yksikön tietoturvavastaavalle ja arkistoidaan käytön päätyttyä yksikön arkistonmuodostussuunnitelmassa tarkemmin määritellyllä tavalla. Käyttökopio anomuksesta jää vastuullisen ylläpitäjän arkistoon käyttöluvan voimassaolon ajaksi. Voimassaolon päätyttyä palvelun ylläpitäjä merkitsee luvan päättyneeksi, poistaa oikeudet ja arkistoi päättyneeksi merkityn luvan. Opiskelijan ammattikorkeakoulukohtaiset käyttöoikeudet perustuvat opiskelijahallinnon tietokannan tietoihin ja opiskeluroolin kestoon ja rooliin määriteltyihin palveluihin. Käyttöoikeus voi myös sulkeutua opiskelijahallinnon tietokannan tietoihin perustuvan käyttöoikeushakemiston tilan muuttuessa (esimerkiksi henkilön opiskeluoikeuden päättyessä, keskeytyessä tai muussa erikseen määritellyssä opiskeluoikeuden luonteen muutostilanteessa käyttöoikeus voidaan sulkea). Vastuullinen ylläpitäjä raportoi voimassaolevista paikallisista käyttöoikeuksista määrävälein tietohallintopäällikölle. Ammattikorkeakoulutasoiset käyttöoikeudet ylläpidetään käyttöoikeustietokannassa. Kaikista käyttöoikeuksista ja -luvista pidetään rekisteriä. Kustakin luparekisteristä on laadittu oma henkilörekisteriseloste. Sivu 2 / 11

Laajat käyttöoikeudet Järjestelmien käyttöoikeudet ovat yleensä rakenteeltaan puumaisia. Ylemmän tason oikeudet sisältävät useimmiten kaikkien alempien tasojen oikeudet. Laajimmat valtuudet ovat ns. manager / administrator / root - tunnuksilla, joita tässä suunnitelmassa kutsutaan hallintatunnuksiksi ja hallintaoikeuksiksi. Hallintaoikeuksilla pystytään tekemään muutoksia tiedostoihin, tietoihin, korjaamaan vaikeita virhetilanteita sekä määrittelemään oikeuksia alemmille käyttäjätunnustasoille (esim. luomaan uusia tunnuksia ja liittämään niihin käyttöoikeuksia). Hallintatunnuksia käytetään vain sen aikaa ja vain niihin tehtäviin, jotka kyseistä käyttöoikeustasoa vaativat. Myös hallintatunnukset ovat henkilökohtaisia kaikissa niissä järjestelmissä, missä tämä on teknisesti mahdollista. Hallintatehtävät jaetaan mahdollisuuksien mukaan usealle henkilölle, joilla on eri käyttövaltuudet. Tietoturvan periaatteiden mukaan kukaan ei voi luoda itselleen enemmän oikeuksia kuin mitä hänelle on myönnetty eikä perustaa itselleen tunnuksia, vaan se vaatii ylemmän tason oikeudet. Hallintakäyttäjä voi kuitenkin tietohallintopäälliköltä saamansa palvelimen ylläpitoluvan nojalla perustaa itselleen hallitsemaansa järjestelmään normaalia työkäyttöä varten henkilökohtaisen peruskäyttäjätunnuksen, jolla on hallintakäyttöä suppeammat käyttöoikeudet. Hallintakäyttäjien velvollisuutena on huolehtia vastuulleen määrättyjen palveluiden toimivuudesta ja tietoturvasta. Tavanomaista käyttäjää laajempien käyttöoikeuksien haltijat (järjestelmän vastuuhenkilöt, systeemimanagerit, tukihenkilöt jne.) ovat työsopimuksensa solmiessaan antaneet sitoumuksen, jolla he sitoutuvat noudattamaan tehtävään liittyviä ohjeita, määräyksiä ja velvollisuuksia. Tehtävien muuttuessa tai muutoin tarpeen vaatiessa nämä sitoumukset uusitaan. Hallintaoikeuksilla järjestelmiin kirjautunut ei nauti yksityisyyden suojaa vaan yhtymä valvoo kaikkia hänen operaatioitaan yksityiskohtaisesti keräämällä tapahtuma- ja viestiliikennetietoja sekä pyrkii havainnoimaan hallintakäyttäjän toimenpiteiden seurauksia ja riippuvuuksia muihin tietoverkon ja viestiliikenteen tapahtumiin. Ulkoistettujen palvelujen toimittajia sitoo vastaavasti toimeksiantosopimus. Erityinen vastuullisuus ja huolellisuus Tavanomaista käyttäjää laajempien oikeuksien haltijoilla on erityinen velvollisuus huolehtia tietoturvan noudattamisesta ja menettelytapojen moitteettomuudesta omassa toiminnassaan ja antamissaan toimeksiannoissa sekä neuvoa ja opastaa muita käyttäjiä tietoturvallisuuden noudattamisessa. Luottamuksellisuus Järjestelmien hoitoon osallistuvia pidetään luotettavana tahona. Kunkin järjestelmän vastuuhenkilöillä, hallintokäyttäjillä, tukihenkilöillä ja muilla toimijoilla on ehdoton velvollisuus pitää salassa ja käsitellä luottamuksellisina tietoonsa tulleet seikat. Avoimuus Turvajärjestelyissä noudatetaan avoimuuden periaatetta siten, että henkilöstö tuntee turvajärjestelyiden periaatteet ja noudatettavat pelisäännöt. Turvajärjestelyjen toteuttamistapa ja niiden tekniset yksityiskohdat ovat ainoastaan niistä vastuussa olevien tiedossa eikä niitä ole lupa ilmaista ulkopuolisille. Henkilölle ilmoitetaan ja hänet pidetään tietoisena hänen viestiliikenteeseensä kohdistuvista selvitystoimista. Tekniset mahdollisuudet valvoa viestiliikennettä Yhtymän julkisia www-sivuja voidaan selata anonyymisti. Jos sivulla kerätään henkilötietoja, keräämisestä ja tietojen käyttötarkoituksesta ilmoitetaan käyttäjille. Yhtymän sisäiset tietopalvelut edellyttävät käyttäjätunnuksen ja salasanan antamista tai käyttöpaikan tunnistamista. Järjestelmissä on tapahtumakirjanpito jota kutsutaan lokikirjaksi tai lokitiedostoksi. Palveluista ja palvelimista ylläpidetään myös päiväkirjaa, johon operaattorit merkitsevät operointitapahtumat ja poikkeamat Sivu 3 / 11

käyttö- ja käytettävyystilanteissa. Näiden avulla voidaan mm. valvoa sitä, että henkilötietolain vaatimukset (esim. tiedonsaantioikeuden varmistaminen, käyttötarkoitussidonnaisuus) täyttyvät ja että ne voidaan jälkikäteen todentaa. Lokit ovat välttämättömiä myös palautuksia ja virhetilanteiden selvittämistä varten. Viestiliikennettä koskevia tietoja tallentuu sähköpostin ja palomuurien lokeihin. Lokeja säilytetään järjestelmien käytön kannalta tarkoituksenmukainen aika tai vähintään laissa määritelty aika. Viestiliikennettä voidaan yksityiskohtaisesti tutkia verkkoanalysaattoreilla. Kaikki liikenne tallentuu verkkoanalysaattorin kiintolevylle, josta sitä voidaan ohjelmallisesti analysoida. Verkkoanalysaattorin käyttö on äärimmäinen toimenpide, johon turvaudutaan vain silloin, kun kaikki muut menetelmät vian selvittämiseksi ovat jo käytetyt. Viestiliikennettä valvotaan jatkuvasti myös virusten löytämiseksi. Perustoiminta viruksen löytyessä on välitön poistaminen ja ilmoittaminen. Mikäli virus löydetään, se poistetaan ja liikenteeseen pyritään liittämään ilmoitus vastaanottajalle ja lähettäjälle viruksen löytämisestä ja poistamisesta. Viruksiin liittyvistä havainnosta ylläpidetään tarkistuspalvelimissa lokikirjaa ja poikkeamista pyritään viestimään kaikille kyseisen viestiliikenteen osapuolille. Valvonta on luonteeltaan teknistä ja automaattista. Virusvalvontaa suoritetaan viestiliikenneverkon monissa osissa ja myös erillisissä järjestelmissä (mm. eri sähköpostijärjestelmät ja varmuuskopiointijärjestelmät) Valvonta perustuu kulloisenkin virustorjuntasopimuksen perusteella hankittuun viruskuvauskantaan. Valvonnan toteuttaminen Verkon valvonta Verkko ja sen laitteet on mitoitettu normaalia virka- ja opiskelukäyttöä varten. Käyttömääriä seurataan jatkuvasti yksikön, toimipisteen tai toimipisteryhmän tarkkuudella. Jos määrissä esiintyy äkillisiä muutoksia tai käyttö poikkeaa merkittävästi vastaavan kokoisten ja tyyppisten muiden yksikköjen tai toimipisteiden profiilista, selvitetään muutoksen syy yhteistyössä yksikön kanssa. Selvityksessä voidaan mennä tarvittaessa lokitiedoston sisältöön aina yksittäiseen työasemaosoitteeseen, käyttäjätunnukseen tai kirjaukseen ja sen sisältöön asti. Tietoturvavastaava tai muu rikosepäilytapauksen huomannut ilmoittaa epäilynsä heti suoraan tietoturvapäällikölle ja/tai tietoturvajohtajalle. Tietoturvaorganisaatio ilmoittaa tapauksen sen luonteen perusteella tarvittaessa eteenpäin joko suojelupoliisille tai rikospoliisille. Epäily johtaa sisäiseen ja/tai ulkoiseen tutkintaan. Sisäiset epäilytapaukset kirjataan ja niiden yhteenveto käsitellään tietoturvallisuuden johtoryhmässä. Jos häiriötilanne uhkaa verkon tai sen osan toimintakykyä on yksikön tietoturvavastaavalla, yhtymän verkkoinsinöörillä tai tietohallintopäälliköllä ja tietoturvapäälliköllä on oikeus sulkea verkko tai sen osa, kunnes uhka on poistunut. Tietoverkkoon liitettävä työasema, palvelin tai laite tarvitsee luvan ja ne on rekisteröitävä laitetietokantaan. Luvassa oleva läpi laitteen elinkaaren laitteen yksilöivä tunnistetieto merkitään laitteeseen helposti havaittavaan kohtaan. Yksikön tiloihin sijoitettavalle työasemalle ja yksikön sisäverkon käyttöön rajatulle laitteelle voi antaa luvan yksikön tietoturvavastaava. Yhteisille palvelimille, muulle palvelinohjelmistolle tai palvelimelle(= laitteelle, johon voidaan ottaa yhteyttä yhtymäverkon ulkopuolelta) ja kaikille muille laitteille antaa luvan verkkoinsinööri tai tietoturvapäällikkö ja tietohallintopäällikkö. Kaikista hylätyistä ja hyväksytyistä luvista ylläpidetään hakijan ja laitteen yksilöivät tiedot sisältävää rekisteriä. Tästä rekisteristä on laadittu henkilörekisteriseloste. Yhtymä julkaisee sisäisesti määrävälein raportin verkon kuormittumisesta ja käytetyimmistä palveluista. Verkon analysointi Verkkoanalysaattorin kytkeminen tietoliikenne- tai lähiverkkoon edellyttää verkkoinsinöörin tai tietoturvapäällikön päätöstä. Analysaattoria saa käyttää ainoastaan henkilö, joka on saanut siihen verkkoinsinööriltä tai tietohallintopäälliköltä valtuutuksen. Valtuuttamatonta käyttöä pidetään tietoturvarikkomuk- Sivu 4 / 11

sena. Analysaattorina pidetään tässä ohjeessa erillistä analysointilaitetta tai ohjelmiston ja laitteen yhdistelmää, jolla voidaan tehdä tässä kuvattuja toimia. Opetuskäytössä verkkoanalysaattori voidaan kytkeä opetustilan tai opetuslaboratorion verkkoon jos verkko on analysoinnin ajaksi fyysisesti irrotettu yhtymäverkosta ja kaikki analysoinnin piirissä olevat ovat tietoisia tilanteesta. Yhtymälle palveluja tuottava toimittaja saa liittää analysaattorin yhtymän verkkoon ainoastaan verkkoinsinöörin tai tietohallintopäällikön dokumentoidulla luvalla, josta käy ilmi tutkittava kohde ja ajanjakso, jolle lupa on annettu. Analysoinnin kohteena oleville ilmoitetaan analysaattorin käytöstä. S Yleistä sähköpostista Sähköpostiviestin perillemenosta varmistuminen on lähettäjän vastuulla. Vaikka sähköposti normaalisti onkin lähes reaaliaikainen viestintäkanava, ei siitä voida antaa takeita. Sähköpostin perillemeno riippuu useiden palvelinten ja sähköpostin välittämiseen liittyvien sovellusten toiminnasta ja monenlaiset tekniset häiriöt voivat viivyttää viestin perillemenoa tai pahimmassa tapauksessa jopa estää sen. Nykyisin yhä useammin käytetyt roskapostin suodattimet voivat erehtyä ja jos viestissä on ollut virus mukana, ei sen perillemenon estosta yleensä tule tietoa viestin lähettäjälle. Yhä useammat organisaatiot käyttävät myös viestien vastaanoton viivästämistä varmistaakseen virustorjuntakantojensa ajantasaisuuden. Näistä syistä, jos viestin perillemeno on erityisen tärkeää, on syytä lähettää viesti hyvissä ajoin ennen mahdollista määräaikaa ja pyytää vastaanottajaa kuittaamaan viesti sen perillemenosta varmistumiseksi. Sähköposti ei ole tarkoitettu tiedostojen massajakeluun. Parempi tapa välittää tiedostoja toisille käyttäjille on esimerkiksi www-sivustojen kautta, tarvittaessa tietylle käyttäjäryhmälle rajatusti intranetissä. Sähköpostijärjestelmät voivat asettaa koko- ja lukumäärärajoituksia liitetiedostoille, jolloin suurten tiedostojen lähettäminen sähköpostitse ei edes onnistu. Samoin liitetiedostojen tiedostotyyppejä voidaan rajoittaa. S0 Sähköpostin käsittely Sähköisten asiakirjojen käsittelyssä sovelletaan yhtymässä kirjesalaisuuden, yksityisyyden suojan ja hyvän hallintomenettelyn periaatteita samalla tavalla kuin muussakin virallisten asioiden hoidossa. Käyttäjiä koskevat vaitiolovelvollisuudet ja hyväksikäyttökiellot on kuvattu myöhemmin tässä dokumentissa sekä tietojärjestelmien ja tietoliikenneverkkojen käytön säännöissä. Sähköposti voi käynnistää uuden asian käsittelyn tai olla osa asiankäsittelyä. Näissä tapauksissa sähköpostin käsittelystä ohjeistetaan erikseen yhtymän asianhallinnan ohjelmistojen käyttöohjeissa. Yhtymällä on oikeus määrätä, mihin sähköpostia ja tietoverkkoa käytetään, ja käyttöoikeuksia voidaan rajoittaa puhelinsoiton estojen tapaan. Ohjeet ja suositukset sähköpostin ja lokitietojen käsittelyssä huomioitavista asioista perustuvat Suomen lakiin sekä valtionhallinnon tietoturvallisuuden johtoryhmän ohjeeseen 5/2005 (http://www.vn.fi/ ). S1 Sähköpostiosoitteet Sähköpostiviestit on tässä ohjeessa jaettu neljään eri luokkaan sen mukaisesti millaiseen osoitteeseen ne on lähetetty. Ohjeessa sekä lähetettyjen että vastaanotettujen viestien osalta tarkoitetaan: - organisaation sähköpostiviestillä yhtymän tai yksikön yleiseen sähköpostiosoitteeseen (esim. amk@savonia-amk.fi, opintotoimisto@savonia-amk.fi, TeKu@savonia-amk.fi) liittyviä, viranomaistoimenpiteitä tai palveluja edellyttäviä viestejä. Sivu 5 / 11

- virkasähköpostiviestillä yhtymän työntekijän työkäyttöön antamaan työsuhde- tai virkasähköpostiosoitteeseen (henkilökohtainen sähköpostiosoite esim. olli.opettavainen@savonia-amk.fi) liittyviä viestejä, jotka edellyttävät ko. työntekijältä työtehtäviinsä liittyviä toimenpiteitä. Opiskelijan opiskeluun liittyvä yhtymän järjestämään sähköpostitiliin toimitettu sähköpostiviesti rinnastetaan soveltuvin osin virkasähköpostiviestiin. - henkilökohtaisella sähköpostiviestillä tarkoitetaan yhtymän tietojärjestelmänsä käyttäjän käyttöön antamaan sähköpostiosoitteeseen (työntekijällä yleensä sama kuin henkilön virkasähköpostiosoite) liittyviä henkilökohtaisia viestejä. - yksityisellä sähköpostiviestillä käyttäjän omaan käyttöönsä hankkimaan yksityiseen sähköpostiosoitteeseen liittyviä viestejä (esim. olli.oppivainen@omaposti.fi). Luonnollisen henkilön sähköpostiosoite on henkilötietolain mukaan henkilötieto. Henkilötiedot on rekisteröity yhtymän henkilötietorekistereihin, joista on laadittu henkilörekisteriselosteet. Henkilötietoja käsitellään yhtymässä rekisteriselosteiden mukaisella tavalla ja tarkoituksessa. Yhtymällä ja sen yksiköillä tulee olla virallisten asioiden hoitoa ja palveluiden tarjoamista varten tarkoitettuja yleisosoitteita (esim. kirjasto@savonia-amk.fi, ostolaskut@savonia-amk.fi, lisenssit@savoniaamk.fi) ja työrooleihin kytkettyjä osoitteita (esim. rehtori@savonia-amk.fi), joista postit ohjataan luonnollisen henkilön sähköpostiosoitteeseen tai roolia kulloinkin hoitavalle mahdollistetaan näiden postien käsittely. Yhtymän palveluita tulee lähestyä ensisijaisesti yleisten osoitteiden, eikä yksittäisten työntekijöiden virkasähköpostiosoitteiden kautta. S2 Sähköpostiosoitteiden julkaiseminen Julkaisemisella tarkoitetaan sähköpostiosoitteen ilmaisemista muun muassa yhtymän puhelinluettelossa tai muussa julkaisussa, yhtymän www-sivulla, käyntikortissa ja hakemistopalvelussa. Julkaisemisessa sovelletaan tarve- ja turvallisuusharkintaa valittavan median ja jakelun laajuuden suhteen. Yhtymä julkaisee oppilaitosten yleiset sähköpostiosoitteet, toimielinten jäsenten sekä henkilökuntansa yhteystiedot, joissa sähköpostiosoitteet ovat muotoa etunimi.sukunimi@savonia-amk.fi. Opiskelijan sähköpostiosoite voidaan julkaista vain, jos siihen on opiskelijan suostumus (ja yhtymä on erikseen katsonut julkaisemiselle olevan tarvetta). Yhtymä ei julkaise yksityisiä sähköpostiosoitteita. S3 Organisaation sähköpostiviestin käsittelyssä huomioitavaa Viran tai toimen hoitoon liittyviä viestejä varten avataan yhtymän nimellä olevia yleisiä sähköpostiosoitteita (yleisosoite voi olla myös postituslista). Yhtymä antaa erikseen ohjeet osoitteiden rekisteröinnistä ja käytöstä. Kullekin osoitteelle tai listalle nimetään vastuuhenkilöt. Organisaatiosähköpostin lähettäminen tai automaattinen ohjaaminen yksityiseen sähköpostiosoitteeseen on kiellettyä tietosuojan ja tiedonhallinnan vuoksi. Organisaatio-osoitteeseen lähetyt viestit tulee lukea arkipäivisin. Lukeminen tulee ennakolta varmistaa lomien ja ennakoimattomien poissaolojen aikana niin, että esimerkiksi tunnuksen salasana on useamman kuin yhden henkilön tiedossa, jaettuun postilaatikkoon on annettu tarpeeksi lukuoikeuksia tai postituslistalla on useampia henkilöitä. Kun organisaatio-osoitteeseen tullut viesti edellyttää kuittausta, tulee sen tapahtua aina ihmisen toimesta. Työntekijän lähettämästä yhtymän vastauksesta tulee ilmetä, että se on lähetetty vastauksena yhtymän yleiseen sähköpostiosoitteeseen tulleeseen viestiin. Vastauksessa on myös korostettava tai asetettava paluuosoite siten, että yhteydenotot jatkossakin tapahtuvat yhtymän yleiseen sähköpostiosoitteeseen. Organisaatio-osoitteelle saapunut sähköposti tulee ohjata kaikille asiaa hoitaville tiedoksi. Jos saapuneessa viestissä on kuittauspyyntö, lähetetään kuittausviesti ilman tarpeetonta viivettä. Sivu 6 / 11

Viestejä käsitellään lain viranomaisten toiminnan julkisuudesta (julkisuuslain) edellyttämällä tavalla. Julkisuuslaki säätää muun muassa mikä on viranomaisen asiakirja, mitkä ovat salassa pidettävät tiedot ja säätää oikeudesta saada tieto asiakirjasta. Sähköpostiviestejä käsitellään ja ne arkistoidaan tarvittaessa arkistonmuodostussuunnitelmassa ilmenevällä tavalla. S4 Virkasähköpostiviestin käsittelyssä huomioitavaa Virkasähköpostin lähettäminen tai automaattinen ohjaaminen yksityiseen sähköpostiosoitteeseen on kielletty tietosuojan ja tiedonhallinnan vuoksi. Yhtymä kohtelee virkasähköpostiosoitteella toimitettua viestiä pääsääntöisesti vastaanottajalle osoitettuna henkilökohtaisena viestinä, koska vastaanottaja ei voi estää henkilökohtaisten viestien saapumista. Jos saapuneessa viestissä on kuittauspyyntö, vastaanottajan tulee lähettää kuittausviesti. Sähköisessä asioinnissa lähetetään kuittausviesti, vaikkei sitä ole erikseen pyydetty. Virkasähköpostiviestistä tulee ilmetä, että sen lähettäjä on viranomainen, ei yksittäinen työntekijä/virkamies esim. liittämällä allekirjoitukseen asema ja yksikön nimi sekä muistuttamalla tai asettamalla paluuosoite siten, että jatkoyhteydet hoidetaan edelleen ao. yleisosoitteen kautta. Viestejä käsitellään lain viranomaisten toiminnan julkisuudesta (julkisuuslain) edellyttämällä tavalla. Julkisuuslaki säätää mm. mikä on viranomaisen asiakirja, mitkä ovat salassa pidettävät tiedot, ja säätää oikeudesta saada tieto asiakirjasta. Sähköpostiviestejä käsitellään ja ne arkistoidaan tarvittaessa arkistonmuodostamissuunnitelmassa ilmenevällä tavalla. S5 Henkilökohtaisen sähköpostiviestin käsittelyssä huomioitavaa Työntekijän tulee siirtää virkasähköpostiosoitteeseensa tulevat henkilökohtaiset viestit välittömästi omiin kansioihinsa, joiden nimestä käy ilmi, että kyseessä ei ole virkasähköposti. Tämä koskee sekä saapuvia että lähteviä viestejä. Henkilökohtainen sähköpostiosoite on tyypillisesti sama kuin virkasähköpostiosoite. Sähköpostin käyttö yksityisiin tarkoituksiin on vähäisessä määrin luvallista. Käyttö kaupalliseen tai poliittiseen tarkoitukseen, kuten yksityiseen yritystoimintaan tai vaalimainontaan on kuitenkin ilman kirjallista lupaa ehdottomasti kielletty. Myöskään ketjukirjeitä ei saa lähettää yhtymän sähköpostipalvelimilla. S6 Yksityisen sähköpostiviestin käsittelyssä huomioitavaa Henkilön omaan käyttöönsä ulkopuoliselta palveluntarjoajalta hankkima yksityinen sähköpostiosoite on yksityisasia, jota ei tässä tarkemmin ohjata. Yksityisessä sähköpostissa ei saa käyttää samoja salasanoja kuin yhtymän tarjoamilla sähköpostitunnuksilla. S7 Roskapostiviestin käsittelyssä huomioitavaa Roskapostilla tarkoitetaan häiritseviä sähköpostiviestejä, joita käyttäjä ei halua; yleensä kyse on mainospostista. Varsinaisen roskapostin lisäksi sähköpostitse saattaa tulla suomalaista suoramarkkinointia. Luonnolliselle henkilölle - kuten opiskelijalle - osoitettu suoramarkkinointi on kielletty TTsL 21 :n 1 momentin mukaan automaattisten järjestelmien - kuten sähköpostin - avulla, ellei henkilö ole antanut etukäteistä suostumusta. Myös työntekijä voi sen halutessaan kieltää. Ulkomaiseen roskapostiin ei pidä vastata, koska vastaamalla osoittaa osoitteensa toimivaksi, jolloin osoite lisätään roskapostituslistoille. Sivu 7 / 11

Yhtymä pyrkii pienentämään roskapostiongelmaa teknisin menetelmin estämällä roskapostin saapuminen tunnetuista roskapostia välittävistä palvelimista. Yhtymän ei tarvitse tiedottaa roskapostin tuhoamisesta viestinnän osapuolille tai palauttaa sitä lähettäjälle. Ketjukirjeet tulkitaan yhtymässä roskapostiksi ja niihin osallistuminen on kiellettyä. Myös yhtymän sisällä viestijärjestelmät on tarkoitettu ensisijaisesti virkatehtävien hoitoon. Laajan yhtymäjakelun (koko henkilökunta tai koko yksikkö) sisältävän postin lähettäjän tulee pohtia onko hän saanut tähän lähettämistehtävään asemavaltuutuksen kyseisen jakelun tasolla esimiehenä toimivalta esimieheltä. Mikäli lähettäjällä on epäilys valtuutuksen olemassaolosta hän voi käyttää laajalla jakelulla perustettuja sellaisia sähköisiä ilmoitustauluja tai yhteisiä sähköisiä kansioita, joiden lukemiseen ei ole asetettu vastaanottajille virkatehtävien hoitoon kytkettyä lukemis- ja reagointivelvoitetta (tapahtumat, ostetaan, myydään, ). Näitä sähköisiä ilmoitustauluja ja kansioita perustettaan ja ylläpidetään tarvetta vastaava määrä. Käyttäjä voi ilmoittaa häiritsevästä roskapostista ylläpitohenkilökunnalle tai atk-tukihenkilölle. S8 Perille menemättömän sähköpostiviestin käsittely Sähköpostiviestin lähettäjällä on pääasiallinen vastuu viestin luettavuudesta, viestin perillemenosta, määräajan ylittymisestä ja muista näihin verrattavista seikoista. Mikäli saapuvan viestin osoite ei ole sähköpostijärjestelmän tiedossa, posti palautuu automaattisesti lähettäjälle virheilmoituksen kera. S9 Väärään osoitteeseen saapunut sähköpostiviesti Mikäli käyttäjä saa toiselle henkilölle tarkoitetun sähköpostiviestin, käyttäjällä on vaitiolovelvollisuus ja hyväksikäyttökielto niin viestin sisällöstä kuin olemassaolostakin. Toiselle henkilölle (esimerkiksi kaimalle) tarkoitettu sähköpostiviesti on ohjattava edelleen oikeaan osoitteeseen, jos osoite on tiedossa. Mikäli osoitetta ei ole tiedossa, lähettäjälle on annettava tieto epäonnistuneesta toimituksesta ja saapunut viesti hävitetään. Yhtymän toimivaltaan kuulumaton, ilmeisestä erehdyksestä tai tietämättömyydestä yhtymälle lähetetty sähköpostiviesti on siirrettävä hallintomenettelylain 8 :n mukaisesti toimivaltaiseksi katsotulle viranomaiselle, jos se on tiedossa; siirrosta on ilmoitettava viestin lähettäjälle. Ellei siirto ole mahdollinen viesti palautetaan ja hävitetään yhtymän palvelimilta. S10 Työ-, kumppanuus- tai opiskelusuhteen päättyminen Sähköpostin käyttöoikeudet päättyvät työ-, kumppanuus- tai opiskelusuhteen päättyessä. Jos työntekijä lakkaa hoitamasta tehtäviään jo ennen työsuhteen päättymistä, tulee joko estää sähköpostin vastaanotto tai asettaa automaattinen vastaus "... Näitä asioita hoitaa jatkossa..." Palvelussuhteen päättyessä työntekijän tai kumppanin tulee poistaa henkilökohtaiset viestinsä ja ilmoittaa viestintäkumppaneilleen sähköpostiosoitteensa sulkemisesta. Muut viestit jäävät yhtymän haltuun. Opiskelijan tulee ennen opiskeluoikeuden päättymistä tai keskeytymistä poistaa viestinsä ja ilmoittaa viestintäkumppaneilleen sähköpostiosoitteen sulkemisesta. Opiskelun keskeytyessä postitili suljetaan ja opiskeluoikeuden päättyessä postitili sisältöineen poistetaan. Käyttäjän kuoltua hänen sähköpostitunnuksensa suljetaan. Avaamattomat viestit palautetaan lähetysosoitteeseen. Muut viestit säilytetään vuoden, jonka jälkeen ne hävitetään. Käyttäjän avaamat henkilökohtaiset viestit luovutetaan kuolinpesän hoitajalle yksikön kanssa tehdyn kirjallisen sopimuksen perusteella. Virkasähköpostiviestien käsittelystä päättää yksikön esimies. Sivu 8 / 11

Yllämainittuja menettelyjä sovelletaan myös työryhmä- ja monimuoto-oppimisen tukijärjestelmien sisältämiin asiakirjoihin ja muihin tuotoksiin. S11 Menettelysäännöt työntekijän ollessa väliaikaisesti poissa Kun kyse on ennakoidusta poissaolosta, työntekijän on huolehdittava sähköpostinsa asianmukaisesta hoidosta. Mikäli poissaolosta voidaan ennakoida olevan haittaa työtehtävien hoidolle, tulee työntekijän huolehtia virkasähköpostinsa käsittelystä poissaolon aikana joko antamalla toiselle henkilölle oikeus lukea virkasähköpostit tai jos edelliset vaihtoehdot eivät ole mahdollisia käyttämällä automaattista kuittausta. Jos sähköpostijärjestelmä tukee jaettuja postilaatikoita, voi työntekijä antaa loman tai muun poissaolon ajaksi toiselle työntekijälle oikeuden lukea tiettyä tai kaikkia postikansioitaan, jolloin viranomaistoimenpiteitä edellyttävät asiat voidaan hoitaa asianmukaisesti. Mikäli yhtymän tehtävien hoito on vaarassa vaikeutua vakavasti poissaolon takia, voidaan yksikössä joutua tilanteeseen, jossa yksittäisen poissaolevan työntekijän sähköposteihin on päästävä käsiksi. Tällöin voidaan työntekijän suostumuksella avata tähän liittyvät viestit tietohallintopäällikön päätöksellä teknisen ylläpidon toimesta. Tällöin noudatetaan yksityisiä viestejä koskevaa vaitiolovelvollisuutta ja hyväksikäyttökieltoa. Mikäli työntekijän suostumusta ei voida saada, hallintojohtaja päättää viestien aukaisemisesta yksikön esimiehen kirjallisesta avaamissyyn sisältävästä esityksestä. S12 Sähköpostiviestien ja niiden liitetiedostojen rajoittaminen Yhtymällä on oikeus asettaa rajoituksia sähköpostiviestien ja niiden liitetiedostojen suhteen. Rajoitukset voidaan toteuttaa esimerkiksi suodattamalla liian suuret tai yhtymän tietoturvallisuutta vahingoittavat tai uhkaavat viestit ja tiedostot - kuten haittaohjelmat pois. Käyttäjille tiedotetaan näistä rajoituksista. Yhtymällä on oikeus ohjelmallisesti tarkistaa viestit ja liitetiedostot mahdollisten virusten ja muiden haittaohjelmien osalta. Yhtymällä on oikeus myös poistaa viruksia ja muita haittaohjelmia sisältävät viestit ja liitetiedostot. Viestin välittämisessä tehty liitetiedostojen poistaminen on milloin se on teknisesti mahdollista saatettava viestin vastaanottajan ja lähettäjän tietoon. S13 Sähköpostiviestin salaus ja todentaminen Pääsääntönä on, ettei erittäin salaiseksi tai salaiseksi luokiteltuja asiakirjoja saa lähettää sähköpostilla. Muita kuin julkisia tietoja ja julkisia henkilötietoja sisältäviä asiakirjoja ei tule siirtää sähköpostina tai muuna tietoverkon yli tapahtuvana tiedonsiirtona ilman salakirjoitusta. Salassa pidettäviä tietoja ja salassa pidettäviä henkilötietoja voidaan siirtää, mikäli sen salaukseen käytetään riittävän vahvoja salausalgoritmeja. Käytettävien salausohjelmien tulee organisaatio- ja virkasähköpostiviestien osalta olla yhtymän hyväksymiä ja käyttöönottamia. Pääsääntöisesti viestien salaamiseen käytetään yhtymän virkamiehelle hankkimaa henkilökohtaista prosessorisirulla varustettua asiointikorttia. Tälle asiointikortille tallennetaan virkamiehen virka- ja työtehtäviin liittyvät varmenteet, joiden avulla henkilö voidaan yksilöidä ja tunnistaa yhtymän edustajaksi. Virkamiehelle annettavan varmenteen toiminto on sama kuin henkilövarmenteenkin, mutta se sitoo julkisen avaimen käyttäjään, joka toimii yhtymän virassa tai toimessa. Yhtymällä on työnantajana ja asiointikortin hankkijana ja omistajana mahdollisuus niin kutsuttuun Key Escrow - menettelyn käyttämiseen tiedon salakirjoittamisen osalta. Menettelyllä voidaan varmistaa, että yhtymän työtehtäviin ja päätösvaltaan kuuluvat virkamiehen asiointikortilla salakirjoitetut tiedot voidaan tarvittaessa myöhemmin avata, vaikka salauksen suorittanut henkilö ei enää olisi yhtymän palveluksessa. Sivu 9 / 11

Yhtymä voi hyväksyä yksityishenkilölle annetun sähköisen henkilökortin käyttämisen työtehtävissä siirtymäajan ratkaisuna. Mikäli yhtymän palveluksessa oleva henkilö antaa yhtymän lakimiehelle kirjallisen sitoumuksen, jossa hän osoittaa ymmärtävänsä ja sitoutuu kantamaan kokonaisuudessaan henkilökohtaisesti kaikki ne riskit mitä hänen henkilöönsä kohdistuu henkilökohtaisen sähköisen allekirjoituksen käyttämisestä viran tai toimenhoitoon liittyviin tehtäviin. Sähköpostilla vastaanotetun asiakirjan oikeellisuus ja aitous on tarvittaessa varmistettava. Jos virkasähköposti on salattu siten, että vain vastaanottaja voi avata sen, se on avattava välittömästi siirron jälkeen. Tarvittaessa se voidaan salata uudestaan siten, että se on muidenkin asian käsittelijöiden avattavissa. S14 Sähköpostin ja tietoverkon käytön valvonta Yhtymä ei valvo perusteettomasti sähköposteja, eikä loukkaa viestintäosapuolten eikä viestien käsittelemien henkilöiden yksityisyyttä. Myöskään muussa verkkokäytön valvonnassa ei perusteettomasti loukata yksityisyyttä. Joissain olosuhteissa yksityiskohtaisempi tutkinta voi olla välttämätöntä. Tällaisia tapauksia käsitellään kohdissa S15 ja S16. Valvonta liittyy poikkeustilanteinen selvittelyihin ja tietoturvallisuuden vaarantumiseen, jotka on kuvattu sähköisen viestiliikenteen turvallisuussuunnitelman poikkeustilanteita kuvaavassa osassa. S15 Sähköpostin ja tietoverkon käytöstä muodostuvien lokitietojen kerääminen ja säilyttäminen Yhtymässä lokitietoja käytetään normaalisti vain vaitiolovelvollisen ylläpitohenkilöstön teknisluontoisiin tehtäviin. Tällaisia ovat esimerkiksi palvelun tason varmistaminen, häiriötilanteiden selvittäminen sekä tilastointiin verrattava yhteenveto, jossa ei näy yksityiskohtaista käyttöä. Lokitietoja ei käytetä käyttäjäkohtaisten profiiliyhteenvetojen tms. tekemiseen, mutta perustellusti väärinkäytöstä epäiltäessä voidaan lokitietoja käyttää tilanteen selvittämiseen. Arkistonmuodostussuunnitelmassa tai ylläpito-ohjeistuksessa määritellään lokitietojen säilytysaika ja paikka. S16 Yhtymän oikeudet sähköpostiviestien lukemiseen Yhtymällä ei ole yleensä oikeutta lukea käyttäjälle lähetettyjä tai hänen lähettämiään sähköpostiviestejä, paitsi saatuaan erikseen tähän käyttäjän suostumuksen. Mikäli perustellusti epäillään tai on olemassa näyttöä yhtymän tietoturvallisuutta vaarantavista tapahtumista tai on perusteltua syytä epäillä käyttäjän syyllistyneen rikolliseen toimintaan tai väärinkäytöksiin, tietoturvapäällikkö, tietohallintopäällikkö tai tietoturvajohtaja harkitsee, päättää ja vastaa, onko ja keillä yhtymän edustajilla oikeus lukea käyttäjälle lähetettyjä tai hänen lähettämiään sähköpostiviestejä. Tarvittaessa tehdään tutkimuspyyntö tai rikosilmoitus poliisille, joka voi hankkia tuomioistuimelta televalvontaluvan. Jos mahdollista, voidaan käyttäjä määrätä olemaan paikalla avattaessa hänelle osoitettuja tai hänen lähettämiään sähköpostiviestejä. Avaamistilaisuudessa on syytä olla paikalla ainakin kaksi tietoturvajohtajan tai yhtymän lakimiehen määräämää yhtymän edustajaa ja tarvittaessa esimerkiksi luottamusmies. Avaamistilaisuudesta pidetään pöytäkirjaa ja siitä toimitetaan ote kohteena olevalle käyttäjälle (elleivät viranomaiset muuta määrää) ja pöytäkirjakopio tietoturvapäällikölle. Milloin on teknisesti mahdollista, pyydetään tietoturvapäällikkö avaustilaisuuteen laatimaan mainittu pöytäkirja. Tietojärjestelmän toimintaa tai palvelutasoa uhkaavissa häiriötilanteissa ylläpitohenkilökunta voi joutua avaamaan sähköpostilaatikon tai viestin sisältävän tiedoston. Nämä tilanteet ohjeistetaan tarkemmin ylläpitosäännöstössä. Avaamispäätöksen voi tehdä tietoturvapäällikkö, tietohallintopäällikkö tai tietoturvallisuusjohtaja. S17 Ylläpitohenkilökunta Jokaisella sähköpostijärjestelmällä on yhtymän kirjallisesti nimeämä vastuuhenkilö tai -henkilöt. Sivu 10 / 11

Ylläpitohenkilökuntaan kuuluvat henkilöt, jotka joutuvat työnsä takia tekemisiin lokitietojen ja toisten ihmisten viestien kanssa. Heitä sitoo ehdoton vaitiolovelvollisuus ja he ovat sitoutuneet noudattamaan ylläpitohenkilöstön toimintasääntöjä. Postipalvelimet ja muut viestijärjestelmät ovat tiukasti suojattuja ja niiden ylläpitäminen tapahtuu siten, että niin käytettävyys kuin myös luottamuksellisuus säilyvät. Hallinta- ja tukiorganisaatio Hallinta- ja tukiorganisaatioon kuuluvat tavallista laajempien käyttöoikeuksien haltijat, joiden roolit ja nimet yhteystietoineen on lueteltu liitteessä. Luetteloa pidetään yllä ja se on saatavissa yhtymän hallintosihteeriltä. Rekisteriseloste Viestiliikenteen tietoturvallisuussuunnitelmaan liittyvistä tiedostoista on laadittu rekisteriseloste, joka on saatavissa yhtymän hallintosihteeriltä. Tietohallintopäällikkö Ari Kekäläinen LIITE1. Tietoteknisten palvelujen hallinta- ja tukiorganisaatio, Luettelo xx.xx.2005 Sivu 11 / 11

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute